Effectuez des opérations hors ligne avec des clés publiques - AWS Key Management Service
Considérations particulières pour le téléchargement de clés publiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Effectuez des opérations hors ligne avec des clés publiques

Dans une clé asymétrique, la KMS clé privée est créée AWS KMS et ne sort jamais AWS KMS non chiffrée. Pour utiliser la clé privée, vous devez appeler AWS KMS. Vous pouvez utiliser la clé publique qu'elle AWS KMS contient en appelant les AWS KMS API opérations. Vous pouvez également télécharger la clé publique et la partager pour une utilisation en dehors de AWS KMS.

Vous pouvez partager une clé publique pour permettre à d'autres personnes de AWS KMS chiffrer des données. Vous ne pouvez déchiffrer des données qu'avec votre clé privée. Ou pour permettre à d'autres personnes de vérifier une signature numérique en dehors de AWS KMS que vous avez générée avec votre clé privée. Ou encore, pour partager votre clé publique avec un pair afin d'en déduire un secret partagé.

Lorsque vous utilisez la clé publique contenue dans votre KMS clé asymétrique AWS KMS, vous bénéficiez de l'authentification, de l'autorisation et de la journalisation qui font partie de chaque AWS KMS opération. Vous réduisez également le risque de chiffrement des données qui ne peuvent pas être déchiffrées. Ces fonctionnalités ne sont pas efficaces en dehors de AWS KMS. Pour plus de détails, consultez Considérations particulières pour le téléchargement de clés publiques.

Astuce

Vous recherchez des clés ou SSH des clés de données ? Cette rubrique explique comment gérer les clés asymétriques dans AWS Key Management Service, où la clé privée n'est pas exportable. Pour les paires de clés de données exportables dans lesquelles la clé privée est protégée par une clé de chiffrement symétrique, KMS voir. GenerateDataKeyPair Pour obtenir de l'aide sur le téléchargement de la clé publique associée à une EC2 instance Amazon, consultez la section Extraction de la clé publique dans le guide de l'EC2utilisateur Amazon et le guide de EC2l'utilisateur Amazon.

Rubriques

Considérations particulières pour le téléchargement de clés publiques

Pour protéger vos KMS clés, AWS KMS fournit des contrôles d'accès, un cryptage authentifié et des journaux détaillés de chaque opération. AWS KMS vous permet également d'empêcher l'utilisation des KMS clés, temporairement ou définitivement. Enfin, les AWS KMS opérations sont conçues pour minimiser le risque de chiffrer des données qui ne peuvent pas être déchiffrées. Ces fonctionnalités ne sont pas disponibles lorsque vous utilisez des clés publiques téléchargées en dehors de AWS KMS.

Autorisation

Les politiques clés et IAMles politiques qui contrôlent l'accès à la KMS clé intérieure n' AWS KMS ont aucun effet sur les opérations effectuées en dehors de AWS. Tout utilisateur qui peut obtenir la clé publique peut l'utiliser à l'extérieur, AWS KMS même s'il n'est pas autorisé à chiffrer les données ou à vérifier les signatures avec la KMS clé.

Restrictions liées à l'utilisation de la clé

Les principales restrictions d'utilisation ne sont pas applicables en dehors de AWS KMS. Si vous appelez l'opération Chiffrer avec une KMS clé comportant le caractère KeyUsage deSIGN_VERIFY, l' AWS KMS opération échoue. Mais si vous chiffrez des données en dehors de l'extérieur AWS KMS avec une clé publique à partir d'une KMS clé avec un KeyUsage SIGN_VERIFY ouKEY_AGREEMENT, les données ne peuvent pas être déchiffrées.

Restrictions de l'algorithme

Les restrictions relatives aux algorithmes de chiffrement et de signature pris AWS KMS en charge ne sont pas efficaces en dehors de AWS KMS. Si vous chiffrez des données avec la clé publique à partir d'une KMS clé extérieure et que AWS KMS vous utilisez un algorithme de chiffrement non compatible, les données ne peuvent pas être déchiffrées. AWS KMS

Désactivation et suppression de clés KMS

Les mesures que vous pouvez prendre pour empêcher l'utilisation d'une KMS clé dans une opération cryptographique interne AWS KMS n'empêchent personne d'utiliser la clé publique en dehors de AWS KMS. Par exemple, la désactivation d'une KMS clé, la planification de la suppression d'une KMS clé, la suppression d'une KMS clé ou la suppression du contenu clé d'une KMS clé n'ont aucun effet sur une clé publique en dehors de AWS KMS. Si vous supprimez une KMS clé asymétrique ou si vous supprimez ou perdez son contenu clé, les données que vous chiffrez avec une clé publique extérieure AWS KMS sont irrécupérables.

Journalisation

AWS CloudTrail les journaux qui enregistrent chaque AWS KMS opération, y compris la demande, la réponse, la date, l'heure et l'utilisateur autorisé, n'enregistrent pas l'utilisation de la clé publique en dehors de AWS KMS.

Vérification hors ligne à l'aide de paires de SM2 clés (régions de Chine uniquement)

Pour vérifier une signature en dehors AWS KMS d'une clé SM2 publique, vous devez spécifier l'identifiant distinctif. Par défaut, AWS KMS utilise 1234567812345678 comme identifiant distinctif. Pour plus d'informations, consultez la section Vérification hors ligne à l'aide de paires de SM2 clés (régions de Chine uniquement).